Перейти к содержанию

Вирус Vault зашифровал рабочие документы


Рекомендуемые сообщения

Добрый день, уважаемые пользователи форума. Ко мне на рабочую почту пришло письмо якобы от поставщика, открыв в нём прикреплённый документ мои рабочие файлы оказались зашифрованными и к расширению добавилось окончание *.vault. Я провёл проверку и собрал логи с помощью AutoLogger. Результаты прикладываю. Прошу помочь мне с данной проблемой. 

CollectionLog-2016.01.22-17.43.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\support\couponsupport.exe','');
 QuarantineFile('C:\Program Files (x86)\ver7BlockAndSurf\i9BlockAndSurfz18.exe','');
 QuarantineFile('C:\Windows\system32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys','');
 DeleteFile('C:\Windows\system32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys','32');
 DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job','32');
 DeleteFile('C:\Windows\Tasks\couponsupport-S-649636217.job','32');
 DeleteFile('c:\support\649636217.ini','32');
 DeleteFile('c:\support\couponsupport.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update','64');
 DeleteFile('C:\Windows\system32\Tasks\couponsupport-S-649636217','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Ответ от Kaspersky: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. i9BlockAndSurfz18.exe {2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. С уважением, Лаборатория Касперского. Новые логи прикрепляю.

CollectionLog-2016.01.23-10.23.zip

Изменено пользователем Αнтон Οвчинников
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {15C14412-DD61-3C45-038B-FEE572BC1B94} -> No File
BHO: No Name -> {bf3f19ca-5975-48c3-8d6c-27cf7073bbf4} -> No File
BHO-x32: No Name -> {15C14412-DD61-3C45-038B-FEE572BC1B94} -> No File
BHO-x32: No Name -> {bf3f19ca-5975-48c3-8d6c-27cf7073bbf4} -> No File
2016-01-23 14:16 - 2014-10-16 09:29 - 00000000 ____D C:\Users\Все пользователи\SHoepDrop
2016-01-23 14:16 - 2014-10-16 09:29 - 00000000 ____D C:\Users\Все пользователи\DeealExpreSsa
2016-01-23 14:16 - 2014-10-16 09:29 - 00000000 ____D C:\ProgramData\SHoepDrop
2016-01-23 14:16 - 2014-10-16 09:29 - 00000000 ____D C:\ProgramData\DeealExpreSsa
2016-01-21 16:23 - 2014-10-02 11:06 - 00000000 ____D C:\Users\Эдуард\AppData\Roaming\337Games
Task: {C8FFFFAA-79CA-421B-8396-D5CA2A498053} - \couponsupport-S-649636217 -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Miks
      От Miks
      Зашифрованые файл.happynewyear@cyberfear.rarAddition.txtFRST.txt
      В пятницу 20 декабря заметил что на несколько пк файлы не открываются. Потом уже понял что подцепили шифровщик.
    • Alexey9009
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
    • Mason19
      От Mason19
      Приветствую, по клавиатуре ноутбука прошелся кот и появилось поле для ввода поискового запроса с надписью: "введите текст здесь", подобное окно еще удалось вызвать на стационарном ПК, но что нажимал уже не помню. Какая программа или служба его вызывает? Окно похожее как на скришоте, только там Windows 11, а у меня на обоих ПК стоит Windows 10.

    • Lotte
      От Lotte
      Добрый день.
       
      Помогите подскажите возможно ли так сделать? 
       
      Читал статью Запрет запуска объектов установил веб консоль на сервер там же от куда Касперский устанавливается на рабочие станции, подключился под доменным админом и дальше не могу понять.
      Пытаюсь новую политику создать и страница зависает.
       

       

       
      Kaspersky Security Center 13.2 Web Console: 13.2.571
      Версия Сервера администрирования: 13.2.0.1511
    • gjin
      От gjin
      В 2015 году словил вирус Vault. Причина, всем понятна. 
      Я всё сохранил, в надежде на развитие технологий  в этой сфере.. 
      есть все файлы шифровальщики, и то что нужно открыть.
      Вопрос: скажите пожалуйста, есть сейчас возможности открыть? или ещё подождать лет 15?
      есть даже ник  этого человека в "jaber". но связь он не выходит.
×
×
  • Создать...